Phishing e Social Engineering
Il vero bersaglio non è il tuo computer. È la tua mente.
Commissariato PS Online
Non è un problema tecnico. È psicologico.
Quando si parla di phishing, la prima reazione è spesso cercare un antivirus migliore, un filtro spam più aggressivo, un firewall più robusto. Sono tutte cose utili — ma mancano il punto centrale.
Il phishing non attacca il tuo sistema operativo. Attacca il tuo sistema nervoso. Usa paura, urgenza, autorità e fiducia — le stesse leve psicologiche che guidano le tue decisioni quotidiane — per farti fare qualcosa che in condizioni normali non faresti mai.
Per questo il 60% delle violazioni di dati aziendali registrate ogni anno inizia non da una falla software, ma da una persona ingannata. Un dipendente che ha aperto l'allegato sbagliato. Un responsabile che ha risposto a un'email falsa. Un privato che ha creduto a una telefonata urgente dalla propria banca.
Capire il phishing significa capire come funziona la persuasione sotto pressione. Questa pagina non ti insegna a diventare diffidente verso tutto: ti insegna a riconoscere i segnali specifici che indicano che qualcuno sta cercando di manipolarti — e ti dà gli strumenti per fermarti un secondo prima di agire.
Verizon Data Breach Investigations Report 2026
Phishing non è solo una email.
La stessa logica di inganno si declina su canali diversi. Conoscerle tutte è il primo passo per non farsi sorprendere.
Phishing classico
Email che imitano banche, corrieri, istituzioni pubbliche o grandi piattaforme. Contengono link a siti clone dove inserire le credenziali o allegati con malware nascosto.
Smishing
Messaggi SMS che annunciano pacchi bloccati, accessi sospetti al conto o rimborsi fiscali. Il link porta a una pagina che raccoglie dati personali o bancari in pochi clic.
Vishing
Telefonate da finti operatori di banca, polizia postale o supporto tecnico. La voce crea pressione emotiva immediata e accelera le decisioni — spesso portando a bonifici urgenti o alla cessione di codici OTP.
Spear phishing
Attacchi personalizzati: l'aggressore studia la vittima su LinkedIn, social media e fonti aperte. L'email cita il nome reale del responsabile, un progetto in corso, un collega fidato — ed è quasi impossibile da distinguere da una comunicazione autentica.
Whaling
La versione diretta ai vertici aziendali o ai loro collaboratori diretti. Il truffatore impersona l'amministratore delegato e chiede un bonifico urgente e riservato. Le somme in gioco possono essere nell'ordine delle centinaia di migliaia di euro.
7 segnali che qualcosa non quadra.
Nessuno di questi segnali, da solo, è una prova definitiva. Ma quando ne vedi due o tre insieme, è il momento di fermarti e verificare — prima di cliccare, rispondere o trasferire denaro.
Urgenza artificiale
Ti dicono che hai poche ore per agire — altrimenti perdi l'accesso al conto, vieni bloccato, perdi un rimborso. L'urgenza non ti dà tempo di pensare. È progettata esattamente per questo.
"Il tuo conto sarà bloccato entro 24 ore se non confermi i dati."
Mittente "quasi uguale"
L'indirizzo email assomiglia a quello ufficiale ma ha una piccola differenza: una lettera diversa, un dominio diverso (.net invece di .it, un trattino aggiunto). Spesso lo noti solo se lo cerchi attivamente.
sicurezza@intesa-sanpaolo-online.net
Link che porta altrove
L'URL del bottone non corrisponde al sito ufficiale: passa sopra con il cursore (o tieni premuto su mobile) prima di cliccare. I siti clone sono spesso quasi identici — la differenza è solo nell'indirizzo.
Botton "Vai al tuo conto" → http://intesasp-accesso.com
Richiesta di credenziali
Nessuna banca, nessun ente pubblico, nessun operatore legittimo ti chiede mai password, PIN, codici OTP o numeri di carta via email, SMS o telefono. Mai. Se succede, è sempre una frode.
"Per sbloccare il conto inserisci il tuo codice PIN."
Errori e incongruenze
Grammatica scivolata, tono formale che cambia all'improvviso, il tuo nome scritto in modo strano, loghi pixelati o leggermente diversi. Non sempre — gli attacchi più sofisticati sono impeccabili — ma quando ci sono, sono un segnale chiaro.
"Gentile cliente, il tuo conto bancaro è stato sospeso."
Offerta impossibile
Hai vinto un premio a cui non hai partecipato. C'è un rimborso fiscale inatteso. Un'eredità da un lontano parente. Un investimento che rende il 30% al mese. Se sembra troppo bello per essere vero, è perché non è vero.
"Hai diritto a un rimborso INPS di €847 — clicca qui."
Pressione alla segretezza
Ti chiedono di non parlarne con nessuno — non con il tuo partner, non con un collega, non con la banca. La segretezza isola la vittima da qualsiasi fonte esterna che potrebbe mettere in dubbio la situazione. È sempre un segnale di allarme.
"Non contattare la sua filiale — per sicurezza, deve gestirlo solo lei."
I meccanismi psicologici del phishing.
I truffatori non improvvisano. Applicano principi di psicologia della persuasione che funzionano su quasi tutti, indipendentemente dall'istruzione o dall'esperienza digitale.
Autorità
Il messaggio arriva dalla tua banca, dall'Agenzia delle Entrate, dalla polizia postale, da Amazon. Siamo programmati ad ascoltare le figure di autorità — non perché siamo ingenui, ma perché nella vita reale funziona così. Il truffatore indossa l'uniforme dell'istituzione e noi rispondiamo all'uniforme, non alla persona dietro.
Urgenza e paura
Quando siamo in uno stato di allerta — "il tuo conto è a rischio", "sei indagato", "perdi i tuoi dati" — il cervello passa dalla corteccia prefrontale (pensiero critico) all'amigdala (risposta emotiva rapida). In questo stato siamo molto più vulnerabili a prendere decisioni impulsive senza verificare i fatti.
Curiosità
"Hai un pacco bloccato." "Qualcuno ha tentato di accedere al tuo account." "Guarda questa foto di te." Il cervello ha un bisogno quasi fisico di chiudere le informazioni incomplete — e i truffatori aprono finestre di curiosità che ci spingono a cliccare prima ancora di aver letto bene cosa sta succedendo.
Avidità e aspettativa di guadagno
Un rimborso fiscale inaspettato. Un investimento sicuro. Un premio a cui non ricordi di aver partecipato. L'attivazione della ricompensa attesa nel cervello abbassa la soglia critica in modo significativo — vogliamo credere che la cosa buona sia vera, e questo desiderio distorce la valutazione razionale del rischio.
Reciprocità
Il truffatore ti ha già "aiutato" — t'ha avvisato in anticipo, ti ha dato informazioni utili, si è mostrato premuroso. Il senso di debito attiva un istinto di reciprocità potente: vogliamo corrispondere all'aiuto ricevuto. In un attacco di spear phishing, questo può essere costruito nel tempo, con settimane di contatti prima della richiesta finale.
Riprova sociale e conformità
"Tutti i nostri clienti lo hanno già fatto." "I tuoi colleghi hanno già risposto." Tendiamo a considerare sicuro ciò che fanno gli altri — specialmente quando siamo incerti. I messaggi di phishing usano spesso questa leva per abbassare la guardia di chi è già dubbioso: se tutti lo fanno, come può essere un problema?
Come si presentano nella realtà.
Casi reali anonimizzati — le frasi sono quelle usate davvero. Riconoscerle prima di averle vissute fa la differenza.
La falsa allerta di sicurezza
"Gentile cliente, abbiamo rilevato un accesso non autorizzato al suo conto. Per proteggere i suoi fondi, è necessario verificare la sua identità entro le prossime 12 ore. Clicchi sul link qui sotto per procedere."
Il sito clone è visivamente identico a quello della banca. Chiede IBAN, password e codice OTP. In media bastano 3 minuti dalla ricezione dell'email al furto delle credenziali. La banca non invia mai richieste di questo tipo via email.
Il pacco bloccato
"Poste Italiane: il tuo pacco non può essere consegnato. Spese di giacenza: €1,99. Paga entro oggi: [link abbreviato]"
La cifra irrisoria abbassa completamente la guardia. Il link porta a una pagina che raccoglie i dati della carta di credito "per il pagamento". L'importo rubato non è €1,99 — è tutto ciò che c'è sul conto. Questo schema è tra i più diffusi in Italia per volume.
La chiamata dalla banca
"Buongiorno, sono Marco Ferretti dal reparto antifrode di [nome banca]. Abbiamo rilevato un tentativo di bonifico di €3.200 dal suo conto. L'ha autorizzato lei? No? Allora dobbiamo bloccare subito. Mi legge il codice che le arriva via SMS?"
La voce è calma, professionale. Il numero sul display può sembrare quello della banca (spoofing). Il codice OTP che arriva via SMS è quello per autorizzare un bonifico reale — ma la vittima lo legge pensando di bloccare una frode, mentre la sta autorizzando.
Il rimborso INPS
"L'INPS ha effettuato un calcolo di rimborso contributivo a suo favore di €723,40. Per ricevere l'importo sul suo conto entro 5 giorni lavorativi, acceda al portale e inserisca i dati bancari aggiornati."
Il logo è corretto, il layout è quello ufficiale. Il link porta a un sito con URL simile (es. inps-rimborsi.it). La vittima inserisce IBAN e codice fiscale — dati poi usati per frodi successive o venduti nel dark web. L'INPS non richiede mai aggiornamenti bancari tramite email diretta.
Hai appena cliccato su un link sospetto o dato dei dati? Fai questo adesso.
Se sei su un link sospetto, chiudi immediatamente il browser. Se hai scaricato un file, non aprirlo. Disconnettiti da Wi-Fi o dati — questo limita i danni se c'era malware in esecuzione.
Se hai inserito credenziali su un sito sospetto, cambia quella password immediatamente — e su tutti gli altri siti dove usi la stessa combinazione. Fallo da un dispositivo diverso se possibile.
Non usare il numero che ti ha chiamato, non richiamare. Cerca il numero sul sito ufficiale o sul retro della carta. Spiega cosa è successo e chiedi di bloccare eventuali transazioni in corso.
Email, banca online, social media. L'autenticazione a due fattori rende inutile una password rubata: senza il secondo codice, il truffatore non può entrare.
Puoi fare una segnalazione al Commissariato di PS Online (commissariatodips.it) — è gratuito, anonimo se vuoi, e aiuta a tracciare i fenomeni per proteggere altri. Se c'è stata una perdita economica, fai anche denuncia in commissariato fisico.
6 regole che puoi applicare da subito.
Non richiedono competenze tecniche. Solo abitudini nuove che, una volta installate, diventano automatiche.
Fermati un secondo prima di cliccare
L'urgenza è la leva principale di ogni attacco di phishing. Il secondo che ti prendi per verificare l'URL, controllare il mittente, leggere il messaggio due volte — quel secondo vale più di qualsiasi software di sicurezza.
Vai direttamente al sito ufficiale
Non cliccare il link nell'email — apri il browser e digita l'indirizzo del sito direttamente tu. Se la banca ti dice che c'è un problema, lo vedrai anche accedendo normalmente al tuo conto. I problemi veri non spariscono se non clicchi il link.
Non condividere mai codici OTP al telefono
I codici che arrivano via SMS per confermare un'operazione sono segreti assoluti — come il PIN del Bancomat. Nessun operatore legittimo te li chiederà mai. Se qualcuno lo fa, stai per autorizzare una transazione fraudolenta.
Attiva l'autenticazione a due fattori
Su email, banca online, social, cloud. Con il 2FA attivo, anche se qualcuno ruba la tua password non può accedere al tuo account senza il secondo codice — che arriva solo al tuo telefono.
Verifica le offerte prima di agire
Hai ricevuto un'email di rimborso? Cerca la notizia sul sito ufficiale dell'ente, non sul link fornito. Hai vinto un premio? Chiama l'azienda al numero sul loro sito. I truffatori ti mandano a loro siti — tu vai ai siti veri.
Parla di quello che hai ricevuto
Dubbi su un'email ricevuta? Raccontala a qualcuno — un familiare, un collega, il tuo sportello bancario. La prospettiva esterna è straordinariamente efficace: quello che a te sembra plausibile, a qualcuno fuori dal contesto appare spesso subito strano.
Perché la tecnologia da sola non basta.
I filtri antispam bloccano milioni di email di phishing ogni giorno. I browser avvisano quando stai per visitare un sito pericoloso. Le banche hanno sistemi di rilevamento delle anomalie sempre più sofisticati. Eppure il phishing cresce — non perché la tecnologia non funzioni, ma perché gli attacchi evolvono più velocemente dei sistemi che li combattono.
L'ingegneria sociale non ha bisogno di bucare un firewall. Ha bisogno solo che una persona — stanca, distratta, preoccupata per un accesso sospetto notificato proprio in quel momento — clicchi un link. E quella persona potrebbe essere chiunque: un responsabile IT esperto quanto un pensionato alle prime armi con lo smartphone.
Ricercatori di psicologia cognitiva hanno dimostrato che il livello di istruzione e la familiarità con la tecnologia non sono fattori protettivi significativi. Quello che fa la differenza è la consapevolezza dei meccanismi — sapere che l'urgenza abbassa la capacità critica, che l'autorità disattiva il dubbio, che la paura accelera le decisioni.
Chi ci è cascato non è ingenuo. È stato preso in un momento di vulnerabilità — stressato, di fretta, emotivamente attivato da un messaggio che sembrava urgente e plausibile. La risposta giusta non è vergogna o autocritica: è capire cosa è successo per farne una difesa futura.
La vera difesa non è tecnica. È psicologica. Significa avere l'abitudine di fermarsi un secondo, riconoscere quando si è sotto pressione emotiva, e sapere che quello è esattamente il momento in cui non bisogna prendere decisioni rapide che coinvolgono denaro o accesso a dati personali.
"Il phishing non attacca il tuo sistema operativo. Attacca il tuo sistema nervoso."
I criminali digitali non cercano vulnerabilità nel software — cercano vulnerabilità nell'attenzione, nella stanchezza, nella paura, nella fretta. La consapevolezza di questo meccanismo è la difesa più solida che esiste — e non richiede nessun aggiornamento tecnico.